技术文章您的位置:真钱21点赢钱,手机版21点游戏下载 > 技术文章 >
Win2008R2实战之DHCPNAP策略部署
发布时间:2020-06-11 14:02

  打开NPS1中的服务器管理器,右击【功能】,选择【组策略管理】,点击下一步安装即可。如图1

  在NPS1中打开服务器管理器,右击【角色】,选择【网络策略和访问服务】。如图2

  系统健康验证器:系统健康验证器(System Health validator)主要根据配置好的健康策略要求检测需要连接到内部网络的客户端的健康状态并发送一个结果给网络策略服务器。

  健康策略:基于SHV的检查,健康策略指定了客户端进行无限制访问内部网络所需要的条件。

  网络策略:网络策略使用条件、设置和约束来决定可以访问网络的客户端。网络策略为顺从的客户端计算机和不顺从的客户端计算机各准备了一条策略。比如符合健康状态的计算机可以不受限访问网络,而不符合健康状态的计算机则只能访问受限网络,除非该计算机进行修补后符合了健康状态的检测,才会被放行进入不受限网络。

  打开网络策略服务器控制台,点击【NPS(本地)】,在右侧的标准配置中,选择【网络访问保护(NAP)】,点击【配置NAP】。如图4

  在配置NAP向导中,网络连接方法选择【动态主机配置协议(DHCP)】,策略名称默认即可。如图5

  如果DHCP服务器没有安装在网络策略服务器中,则需要将远程DHCP服务器配置为RADIUS客户端。本实验环境DHCP服务安装在NPS中,所以无需配置,点击下一步即可。如图6

  如果不指定DHCP作用域,则NAP将应用于选定DHCP服务器中的所有作用域范围。本实验环境无需配置,点击下一步即可。如图7

  更新服务器组默认为空,我们将WSUS1放入改组作为修补服务器。点击新建组,组名【WSUS】,更新服务器处点击【添加】,将WSUS1的服务器IP地址添加进去。如果没有帮助网页,URL疑难解答地址可为空。如图8

  经过向导的指引配置,系统自动创建了健康策略及网络策略,如图9-1.9-2

  健康验证器定义了客户端计算机访问内部网络需要的条件。打开网络策略服务控制台,展开【网络访问保护-系统健康验证程序-Windows安全健康程序-设置】,右击【默认配置】,选择【属性】。此实验我们启用2个条件,分别是【已为所有网络连接启用防火墙】和【已启用自动更新】。如图10

  打开DHCP服务器控制台,展开【IPv4】,右击作用域【192.168.1.0】,选择属性,在【网络访问保护】选项卡中,选中【对此作用域启用】。如图11

  在管理工具中,打开组策略管理工具,展开林,域,在【右击选择【在这个域中创建GPO并在此链接】,取名【NAP Client settings】。如图12

  编辑【NAP Client settings】,依次展开【计算机配置-Windows配置-安全设置-网络访问保护-NAP客户端配置-强制客户端】,双击【DHCP隔离强制客户端】,勾选【启用此强制客户端】。如图13

  1. 我们使用Client1来进行测试,强制刷新组策略,获取新的NAP策略设置。

  2. 依次打开Client 1的【控制面板】-【系统和安全】-【操作中心】,这里看到该计算机的安全保护设置。展开【安全】选项,拉到底部,可以发现Client 1的网络访问保护功能已经启用,如图15

  3. 此时打开防火墙设置,会在顶部多出这样一行字【出于安全原因,某些设置由系统管理员管理】。如图16。并且此时是无法手工关闭防火墙的,因为此时系统的某些安全设置已经被NAP服务代理管理,即使选中关闭防火墙后,系统在检测到安全策略设置中的选项被更改,会强行再次按照安全策略的内容启动防火墙。由于此实验安全策略选项我设置了防火墙和自动更新,所以这两项设置都无法改变。

  4. 我们可以利用NETSH命令检查一下当前Client1是否被修复成功,在命令提示符中输入:【netsh nap client show state】就可得到如图17中的信息,图中显示健康代理已经正常启用,并修复了客户端计算机,允许其进入不受限网络。

  通过上述操作,小赵完成了对Contoso公司内网接入的安全加固,在一定程度上解决了外部计算机接入企业网络会造成的破坏。但是网络访问保护技术不仅仅是这样,它可以结合SCCM进行软件更新评估,也可以通过IPSec强制对使用Direct Access技术的远程计算机通信进行加密保护,同时还可以与思科的网络访问控制技术结合,提供全方位的保护。怎么样,听了这些,你是否心动了呢?